Quasi tutti i giorni si sente parlare di attacchi ransomware ai danni di ogni tipo di organizzazione. In Italia solo negli ultimi mesi ci sono stati almeno 5 attacchi eclatanti: il Comune di Brescia, il caso della Regione Lazio, il Gruppo Maggioli, la SIAE, la famosa azienda “delle patatine” San Carlo, e da ultimo l’Unione di Comuni “Terre di Pianura” assieme ai Comuni di Budrio e Castenaso.
Oramai la frequenza con cui avvengono questi attacchi dovrebbe far preoccupare anche chi non deve gestire dei datacenter e, paradossalmente, anche chi non ha un computer.
Come agiscono gli attaccanti?
I gruppi criminali per colpire con i ransomware utilizzano dei metodi di attacco tanto semplici quanto efficaci: mail di phishing, applicazioni non protette o non aggiornate. Sfruttando delle tecniche di social engineering o delle vulnerabilità, quindi, riescono prima ad esfiltrare i dati dagli archivi della vittima e poi a cifrare tutti i dati presenti nei server. A questo punto parte il primo tentativo di estorsione: se mi paghi il riscatto ti consegno le chiavi per togliere la cifratura. Da un po’ di tempo però si è aggiunto un secondo tipo di estorsione, che si attua con la minaccia di pubblicare online i dati esfiltrati in precedenza, se la vittima non paga.
Quali sono le conseguenze per la vittima?
Quando gli attacchi ransomware vanno a segno portano con sé conseguenze anche molto pesanti in termini di operatività, di reputazione e danno economico. Oltre ai disservizi facilmente immaginabili da chiunque e alle conseguenze appena citate, la vittima si potrebbe trovare in uno dei possibili ma frequenti scenari, a seconda del fatto che siano stati adottati o meno alcuni strumenti organizzativi e difensivi.
Gli scenari appena descritti rappresentano degli esempi estremi, che utilizziamo per sensibilizzare sul tema, ma costituiscono nella realtà dei fatti le situazioni più frequenti.
Quali sono le conseguenze per gli interessati?
Supponiamo che la vittima sia un Ente pubblico; ne consegue che gli interessati siano i cittadini, i dipendenti, e ogni altro individuo che collabora con l’Ente. Se per la vittima diretta subire attacchi informatici equivale a passare un ’48, non ci si deve dimenticare delle vittime indirette, ovvero degli interessati.
Se i servizi dell’Ente non vengono erogati, i cittadini potranno soffrire notevoli disagi, ad esempio: potrebbe non essere possibile pagare con il POS; potrebbe non essere possibile esaudire le richieste di accesso agli atti; le richieste di visione dei filmati inerenti all’attività di Polizia Locale non verrebbero soddisfatte.
Semplici azioni come prelevare un libro dalla biblioteca comunale, o restituirlo, potrebbero essere impossibili.
Se invece fossero i servizi di un ospedale o un pronto soccorso a venire meno? Negli Stati Uniti, e anche in Germania senza andare troppo distante, è già scappato il morto perché alcuni sistemi erano offline a seguito di attacchi informatici.
Tutto ciò sembra surreale, ma invece è pura e semplice realtà. Questi eventi non accadono più soltanto oltreoceano o alle multinazionali, ma da tempo ormai sono giunti nei nostri Comuni e nei nostri ospedali.
È giunto il momento di prendere coscienza della portata di questi incidenti ed agire per rimettere in sicurezza le infrastrutture prima che sia troppo tardi, perché, se vogliamo che il Paese sia resiliente ai cambiamenti e metta in atto la tanto decantata trasformazione digitale, è necessario che ogni singola organizzazione, pubblica e privata, piccola o grande, sia in grado di resistere agli attacchi cyber e riesca a mitigarne gli effetti.
Le politiche di cyber defense si possono implementare, poiché esistono sia gli strumenti sia i professionisti, ma solo con un effettivo gioco di squadra tra tutti i componenti delle organizzazioni si potranno raggiungere gli obiettivi fissati: come in una barca, tutti devono remare nella stessa direzione.
Enrico Munaro
Consulente in materia di privacy e sicurezza informatica
Polimatica Progetti S.r.l. – Progetto Priv@cy
Delegato Federprivacy Verona